我正在用 C 编写一个简单的防病毒软件。我有一些恶意软件样本,我想从中提取签名。知道如何提取它们吗?
问问题
632 次
1 回答
0
检索“签名”可以像通过散列病毒(es)相应的二进制文件生成数字签名一样简单。MD5 或 SHA。IE 在您的代码中实现以下功能,我确定您已经开始...:
md5sum virus
-> md5hashofvirus |
md5sum virus2
-> md5hashofvirus2
此处提供完整的 md5sum 档案。
C 中的 MD5 实现在这里可用。
但是,对文件的任何修改都会使这种检测方法无效(尽管这是加密病毒的最终目标)。现代 AV 使用的实际“病毒签名”是
“可用于准确识别给定文件或内存范围中是否存在特定病毒的任何位序列。”
由于该级别的分析使恶意软件制造商更难隐藏恶意软件的“身份”。
- www.agusblog.com/wordpress/what-is-a-virus-signature-are-they-still-used-3.htm 是我觉得你应该阅读的东西。
- www.labri.fr/perso/ly/publications/viro.pdf 如果您正在寻找更深入的内容。
如果您想了解更多信息,请尝试自己分享更多信息。
于 2013-06-13T20:40:28.607 回答